Please wait while your connection is being...

Résolu
Esteban -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Je tente de me débarasser de l'infection 'Please wait while the connection is being established" et votre aide sera la bienvenue!

Voici le rapport OTL.txt : http://pjjoint.malekal.com/files.php?id=20120319_b13t10q5d7r6
Et le rapport extra.txt : http://pjjoint.malekal.com/files.php?id=20120319_z9p6s13e6t7

Merci beaucoup!

Esteban

21 réponses

  • 1
  • 2
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    O4 - HKLM..\Run: [K3aRyluP6SiCkoR] C:\Users\User\AppData\Roaming\flint4ytw.exe ()
    O4 - HKU\User_ON_C..\Run: [K3aRyluP6SiCkoR] C:\Users\User\AppData\Roaming\flint4ytw.exe ()
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableInstallerDetection = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableUIADesktopToggle = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableVirtualization = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ValidateAdminCodeSignatures = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption =
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext =
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: scforceoption = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: FilterAdministratorToken = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_TEXT = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_BITMAP = 2
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_OEMTEXT = 7
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_DIB = 8
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_PALETTE = 9
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_UNICODETEXT = 13
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_DIBV5 = 17
    O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
    O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O20 - HKLM Winlogon: Shell - (C:\Users\User\AppData\Roaming\flint4ytw.exe) - C:\Users\User\AppData\Roaming\flint4ytw.exe ()
    O20 - HKLM Winlogon: UserInit - (C:\Users\User\AppData\Roaming\flint4ytw.exe) - C:\Users\User\AppData\Roaming\flint4ytw.exe ()
    O20 - HKU\User_ON_C Winlogon: Shell - (C:\Users\User\AppData\Roaming\flint4ytw.exe) - C:\Users\User\AppData\Roaming\flint4ytw.exe ()
    O20 - HKU\User_ON_C Winlogon: UserInit - (C:\Users\User\AppData\Roaming\flint4ytw.exe) - C:\Users\User\AppData\Roaming\flint4ytw.exe ()
    [2012/02/16 17:19:40 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\Babylon
    [2012/02/16 17:19:40 | 000,000,000 | ---D | M] -- C:\ProgramData\Babylon
    :reg
    [HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "Shell"="explorer.exe"]


    * redemarre le pc sous windows et poste le rapport ici

    puis :

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.

    Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad

    0
  2. Esteban
     
    Merci beaucoup.
    Voici le rapport

    ========== OTL ==========
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\K3aRyluP6SiCkoR deleted successfully.
    C:\Users\User\AppData\Roaming\flint4ytw.exe moved successfully.
    Registry value HKEY_USERS\User_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\K3aRyluP6SiCkoR deleted successfully.
    File C:\Users\User\AppData\Roaming\flint4ytw.exe not found.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableInstallerDetection deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableSecureUIAPaths deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableUIADesktopToggle deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableVirtualization deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ValidateAdminCodeSignatures deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\dontdisplaylastusername deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\legalnoticecaption deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\legalnoticetext deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\scforceoption deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\shutdownwithoutlogon deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\undockwithoutlogon deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\FilterAdministratorToken deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\\CF_TEXT deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\\CF_BITMAP deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\\CF_OEMTEXT deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\\CF_DIB deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\\CF_PALETTE deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\\CF_UNICODETEXT deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\\CF_DIBV5 deleted successfully.
    Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
    Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop deleted successfully.
    Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
    Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\User\AppData\Roaming\flint4ytw.exe deleted successfully.
    File C:\Users\User\AppData\Roaming\flint4ytw.exe not found.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Users\User\AppData\Roaming\flint4ytw.exe deleted successfully.
    File C:\Users\User\AppData\Roaming\flint4ytw.exe not found.
    Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\User\AppData\Roaming\flint4ytw.exe deleted successfully.
    File C:\Users\User\AppData\Roaming\flint4ytw.exe not found.
    Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Users\User\AppData\Roaming\flint4ytw.exe deleted successfully.
    File C:\Users\User\AppData\Roaming\flint4ytw.exe not found.
    C:\Users\User\AppData\Roaming\Babylon folder moved successfully.
    C:\ProgramData\Babylon folder moved successfully.
    ========== REGISTRY ==========
    HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\WINDOWS\\system32\\userinit.exe," /E : value set successfully!
    HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe"] /E : value set successfully!

    OTLPE by OldTimer - Version 3.1.48.0 log created on 03192012_095104

    Par contre maintenant : Impossible de relancer sous Windows. Ecran noir après écran de lancement !

    Une idée?

    Merci !
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Refais un scan OTL depuis OTLPE.
    0
  4. Esteban
     
    Voici les résultats du dernier scan:

    OLT : http://pjjoint.malekal.com/files.php?id=20120319_i11r14w9d10c13
    Extra : http://pjjoint.malekal.com/files.php?id=20120319_r10k108o10u8

    Merci !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    bizarre que tu aies uin écran noir.
    C:\windows\system32\userinit.exe existe bien ?

    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    O20 - HKU\User_ON_C Winlogon: UserInit - (c:\windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)


    * redemarre le pc sous windows et poste le rapport ici

    0
  7. Esteban
     
    Oui, C:\windows\system32\userinit.exe est bien présent.
    Mais blocage sur l'écran noir. Le gestionnaire des tâches est pourtant accessible avec un ctrl/Alt/supr. Mais ça n'avance plus...

    Voici le rapport du fix :

    ========== OTL ==========
    Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:c:\windows\system32\userinit.exe deleted successfully.
    Item C:\Windows\System32\userinit.exe is whitelisted and cannot be moved.

    OTLPE by OldTimer - Version 3.1.48.0 log created on 03192012_113040

    Une idée?
    Merci!
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    . Le gestionnaire des tâches est pourtant accessible avec un ctrl/Alt/supr

    Menu Fichier / Nouvelle tâche et tape explorer.exe
    tu récups le bureau ?
    0
  9. Esteban
     
    Oui, effectivement.

    Mais bureau entièrement vierge.

    Et quand je reboote, écran noir à nouveau....

    ???

    Merci !
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ca c'est normal.

    Remets le bureau et :

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.

    Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  11. Esteban
     
    Le voici :

    RogueKiller V7.3.1 [10/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
    Demarrage : Mode normal
    Utilisateur: User [Droits d'admin]
    Mode: Recherche -- Date: 19/03/2012 12:09:12

    ¤¤¤ Processus malicieux: 1 ¤¤¤
    [SUSP PATH] cacaoweb.exe -- C:\Users\User\AppData\Roaming\cacaoweb\cacaoweb.exe -> KILLED [TermProc]

    ¤¤¤ Entrees de registre: 10 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\User\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-70149553-3387848507-3480004700-1000[...]\Run : cacaoweb ("C:\Users\User\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD3200BEVT-22A23T0 ATA Device +++++
    --- User ---
    [MBR] 06fcc7272c56bb1740c12b661d210054
    [BSP] ae315628b057aa70569e31c992178acb : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
    1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117961 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: General USB Flash Disk USB Device +++++
    --- User ---
    [MBR] d29963bd557c9b7bdb728b1ce2afabd6
    [BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 3822 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    Est-ce que ça explique qu'Explorer ne se charge pas?

    Merci!
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    En suppression RogueKiller.
    Non ça va faire récup les icones.

    ~~

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    0
  13. Esteban
     
    Rapport après supression :
    RogueKiller V7.3.1 [10/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
    Demarrage : Mode normal
    Utilisateur: User [Droits d'admin]
    Mode: Suppression -- Date: 19/03/2012 12:15:38

    ¤¤¤ Processus malicieux: 1 ¤¤¤
    [SUSP PATH] cacaoweb.exe -- C:\Users\User\AppData\Roaming\cacaoweb\cacaoweb.exe -> KILLED [TermProc]

    ¤¤¤ Entrees de registre: 9 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\User\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
    [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD3200BEVT-22A23T0 ATA Device +++++
    --- User ---
    [MBR] 06fcc7272c56bb1740c12b661d210054
    [BSP] ae315628b057aa70569e31c992178acb : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
    1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117961 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

    Merci!
    0
  14. Esteban
     
    Voilà le scan:

    Extras : http://pjjoint.malekal.com/files.php?id=20120319_r5i12i7n12v9
    OTL : http://pjjoint.malekal.com/files.php?id=20120319_g14s10r11p14f9

    Merci !
    0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    voila pourquoi ça m*rde - y a un " qui se balalde :
    O20 - HKLM Winlogon: Shell - (explorer.exe") - C:\windows\explorer.exe (Microsoft Corporation)

    Je me suis planté plus haut dans le c/c y a un ] à la fin d'explorer.exe.
    Désolé.

    ~~

    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :reg
    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"="explorer.exe"


    * redemarre le pc sous windows et poste le rapport ici

    Tu devrais récup ton bureau avec les icônes.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  16. Esteban
     
    Voilà le rapport:

    ========== REGISTRY ==========
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E : value set successfully!

    OTL by OldTimer - Version 3.2.39.1 log created on 03192012_124349

    Je tente de rebooter et je reviens
    0
  17. Esteban
     
    Ok, ça fonctionne ! Grand grand merci à toi !
    Par contre, la machine semble tourner au ralenti maintenant....
    Aurais-tu d'autres conseils ou réglages à effectuer?
    Merci encore!
    0
  18. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Désinstale cacaoweb.

    - Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
    - Pour lancer HijackThis :
    * Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
    * Sur XP un simple double-clic suffit
    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur Do a scan and save log file.
    - Le rapport s'ouvre sur le Bloc-Note
    - Enregistre le sur ton bureau
    - Envoie le sur http://pjjoint.malekal.com
    - Donne le lien pjjoint ici.
    0
  19. Esteban
     
    Voici le rapport:
    http://pjjoint.malekal.com/files.php?id=HijackThis_20120319_l5g109q9o15

    (Hijack a précisé que le fichier Host ne pouvait être scanné - ou quelque chose dans ce genre - je n'ai pas noté, désolé)

    (Pas encore supprimé Cacaoweb, je n'ai pas russi à faire la manip)

    Que penses-tu du rapport?

    Merci!
    0
  20. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Rien d'extraordinaire.

    Désinstalle Classic Shell si tu t'en sers pas.

    Relance HijackThis (si tu es sur Vista/Seven - faire un clic droit et executer en tant qu'administrateur) et coche ces lignes :

    O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe MSRun
    O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
    O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
    O4 - HKLM\..\Run: [avast5] C:\Program Files\Alwil Software\Avast5\avastUI.exe /nogui
    O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
    O4 - HKLM\..\Run: [CardDetectorHUAWEI1752_1552] C:\Program Files\CardDetector\HUAWEI1752_1552\CardDetector.exe
    O4 - HKLM\..\Run: [BEWINTERNET-FR-DMGP-V2SessionManager] C:\Program Files\Orange\IEWInternet\SessionManager\SessionManager.exe
    O4 - Global Startup: Bluetooth Manager.lnk = ?

    ==> clic sur fix checked

    Redémarre l'ordinateur

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  21. Esteban
     
    Vraiment, un grand grand merci pour tous les conseils !
    Bonne journée à toi.
    Esteban
    0
  • 1
  • 2